VMware vSphere Web Services SDK编程指南（八）- 8.1 认证和授权（相关对象）

8.1 认证和授权

VMware vSphere 实现机制确保只有有效的用户能够访问虚拟基础设施组件，API 中的每个属性和方法都有一个关联的权限要求，只有使用对应的权限才能访问该实体。

本章讨论了使系统安全和相关服务接口的方法，同时讨论了与ESXi系统和 vCenter 服务器系统中不同的用户模型。

本章包括以下主题：

■ 8.1 认证和授权管理的相关对象

■ 8.2 ESXi 和 vCenter 服务器的认证和授权

■ 8.3 从 UserDirectory 获取用户和组信息

■ 8.4 使用 HostLocalAccountManager 管理 ESXi 用户

■ 8.5 使用 AuthorizationManager 管理角色和权限

■ 8.6 通过 SessionManager 认证用户

■ 8.7 使用凭据库（Credential Store）自动登录

■ 8.8 使用 LicenseManager 管理许可证

8.1 认证和授权管理的相关对象

VMware vSphere 包含以下用于对用户进行身份认证的接口，并保护虚拟基础设施组件不受未经授权的访问：

■ HostLocalAccountManager — 用于创建和管理 ESXi 系统上的用户。认证的用户可以根据与他们的帐户相关的权限查看服务器上的对象或调用操作。

查阅 使用 HostLocalAccountManager 管理 ESXi 用户。

■ AuthorizationManager 保护 vSphere 组件不受未授权访问，对组件的访问是基于角色的：用户被指定的角色包括查看和执行对vSphere对象的操作所需要的权限。

AuthorizationManager 有创建新角色、修改角色、设置权限于实体及处理托管实体对象和权限关系的方法。

■ UserDirectory 提供一个返回用户账户信息到 AuthorizationManager 或其它请求者（如客户端应用程序）的查看机制。

查阅 从 UserDirectory 获取用户和组信息。

■ SessionManager 提供一个到目标服务器系统上的身份验证架构的接口（查阅 通过 SessionManager 认证用户）。

对于 vCenter 服务器系统，SessionManager 支持基于 SSO 令牌（从 VMware SSO 服务器获取）的单点登录。

查阅 与 vCenter 服务器建立一个单点登录会话。

对于 ESXi 系统，SessionManager 支持对在主机系统中定义的用户帐户进行身份验证，

如使用 vSphere 客户端创建的账户或通过 HostLocalAccountManager API 编程创建的账户。

■ 即使用户被授权在 vSphere 对象上执行操作，如果没有指定主机或特性的许可证，则操作失败。

使用 LicenseManager 和 LicenseAssignmentManager 管理许可证。

查阅 使用 LicenseManager 管理证书

原文：

VMware vSphere 6.5 Documentation Center：Authentication and Authorization